aws-cloudformation - 云形成的 secret

标签 aws-cloudformation aws-secrets-manager aws-ssm

我想坚持“所有基础设施都是代码”的政策。但是,我看不到使用 CloudFormation 来实现 secret 的方法。

SecretsManager 要求您以纯文本形式指定 SecretString。即使您从某处注入(inject)解密的值,纯文本字符串也会显示在 CF 控制台的模板 View 中:/

在SSM中也不可能使用加密字符串。文档说:“AWS CloudFormation 不支持创建 SecureString 参数类型。”

真的没有办法使用 CloudFormation 来安全地以代码形式管理 secret 吗?

最佳答案

您可以使用Secret CloudFormation 中的资源来创建 SecretsManager key 。有一种方法可以在 SecretString 中生成值(使用 GenerateRandomPassword API)。看GenerateSecretString属性。

这应该可以帮助您生成密码,而无需将其硬编码在模板中。

还有一个RotationSchedule资源可帮助您为您的 secret 设置自动轮换。

要使用 SecretsManager secret 或 Parameter Store 参数中存储的 secret 值,请使用 dynamic references 。动态引用保证 secret 值不会记录在 CFN 中或显示在控制台中。

无法创建/生成 SecureString当前 Parameter Store/Systems Manager 中的参数。

关于aws-cloudformation - 云形成的 secret ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59865701/

上一篇:data-cleaning - OpenRefine - 将多个列值合并到新列应该(?)工作

下一篇:shell - ZSH 在打开应用程序选项卡自动完成时挂起

相关文章:

amazon-ec2 - CDK/CloudFormation 批量设置不稳定错误

json - Terraform 从 AWS secret 管理器中以错误的格式获取 secret 值

amazon-web-services - 为什么通过 IAM 策略将 `ssm:sendCommand` 限制为特定文档显示拒绝访问?

kubernetes - 如何从存储在 AWS 系统管理器中的参数获取 Kubernetes Secret

python - Ansible Community.aws.aws_ssm 模块。错误!一名 worker 被发现已死亡

aws-cloudformation - 我可以使用 CloudFormation 中的映射来定义参数吗?

amazon-web-services - AWS CloudFormation 替代 VPCEndPoint 策略

amazon-web-services - 可以使用 JNDI 从 Tomcat 访问 AWS Secret Manager 吗?

terraform - 将新权限附加到 AWS 中的角色

aws-cloudformation - 如何在AWS CDK中引用生成的域名 `elasticsearch.CfnDomain`?

©2024 IT工具网  联系我们